企业网站安全解决方案
企业网站作为对外宣传企业,对内增强企业凝聚力的阵地,采用了甘肃电信互联港湾提供虚拟服务器,国际一级域名,对网站实现互联网后台管理。网站主要安全解决方案由虚拟主机提供商中国电信甘肃互联港湾进行管理。
一、网站可能有的安全隐患
部署安全方案前,校园网络存在的安全隐患和漏洞有:
1.企业网站通过虚拟主机与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。
2.企业网站内部管理也存在很大的安全隐患。由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁会更大一些。
3.目前虚拟主机使用的操作系统存在安全漏洞,对网络安全构成了威胁。虚拟服务器安装的操作系统是Windows NT/2000, Windows NT/2000的普遍性和可操作性使它成为最不安全的系统:自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒的温床等。
4.随着企业内部计算机应用的大范围普及,接入互联网的节点数日益增多,而这些节点大部分都没有采取安全防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
由此可见,构筑具有必要的信息安全防护体系、建立一套有效的网络安全机制显得尤其重要。
解决方案
根据企业网站的结构特点及面临的安全隐患,虚拟服务器提供商采用了北京瑞星公司设计的网络安全体系方案。该方案确定了以下几个必须考虑的安全防护要点:网络安全隔离、网络监控措施、网络安全漏洞、网络病毒的防范。
1.防火墙的部署
在Internet与企业网站之间部署了一台瑞星RFW-100防火墙,在企业网站之间建立一道牢固的安全屏障。
在防火墙设置上我们按照以下原则配置来提高网络安全性:
(1)根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容,严格禁止来自外网的对企业网站的不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。
(2)配置防火墙,过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击。
(3)在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
(4)定期查看防火墙访问日志,及时发现攻击行为和不良的上网记录。
(5)允许通过配置网卡对防火墙设置,提高防火墙管理的安全性。
2.入侵检测系统的部署
入侵检测能力是衡量一个防御体系是否完整有效的重要因素。强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足。根据企业网站的特点,采用瑞星入侵检测系统RIDS-100。将RIDS-100入侵检测引擎接入Cisco Catalyst 8540中心交换机上,对来自外部网的各种行为进行实时检测。RIDS-100入侵检测系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据;如果情况严重,RIDS-100可以发出实时报警,网络管理员能够及时采取应对措施。
3.漏洞扫描系统
采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供周密、可靠的安全性分析报告。
4.瑞星网络版杀毒产品的部署
为了实现在整个局域网内杜绝病毒的感染、传播和发作,在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种功能。
(1)在虚拟服务顺的Windows 2000服务器上安装瑞星杀毒软件网络版的系统中心,负责管理1200多个主机网点。
(2)在各分支机构分别安装瑞星杀毒软件网络版的客户端。
(3)安装完瑞星杀毒软件网络版后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。
(4)虚拟主机提供商负责整个企业网站的杀毒软件升级工作。为了安全和管理的方便,由网络中心的系统中心定期地、自动地到瑞星网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其他1200多个主机网点的客户端与服务器端,并自动对瑞星杀毒软件网络版进行更新。同时,因为只有网络中心才有Internet出口,便于整个网络的统一管理。
5.安全管理
常言说:“三分技术,七分管理”。安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。我们建立了一套企业网络安全管理模式,制定了详细的安全管理制度。对于网站的后台管理,我们在论坛中采用了关键安过滤技术,防范违反规定的言论。并采取切实有效的措施,保证了制度的执行。
